<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM AR415S 設定例集 2.9 #67
IPフィルターは、IP、TCP、UDP、ICMPなどのヘッダー情報をもとに、パケットの通過・拒否を制御する機能です。この例では、IPフィルターの基本的な設定方法を、PPPoEインターネット接続環境におけるL2TP LAN間接続の構成例をもとに解説します。
PPPユーザー名 | AAA | BBB |
PPPパスワード | PasswordA | PasswordB |
PPPoEサービス名 | 指定なし | 指定なし |
IPアドレス | 4.4.4.1/32 | 12.34.56.78/32 |
WAN側物理インターフェース | eth0 | eth0 |
WAN側IPアドレス | 4.4.4.1/32(ppp0) | 12.34.56.78/32(ppp0) |
LAN側IPアドレス | 192.168.10.1/24(vlan1) | 192.168.20.1/24(vlan1) |
ルーターAの設定 |
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispA PASSWORD=isppasswdA LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=4.4.4.1 MASK=255.255.255.255 ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=remote IP=12.34.56.78 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpB ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=ON ↓
ADD IP INT=ppp1 IP=0.0.0.0 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=4.4.4.1 PO=1701 IP=4.4.4.1 ↓
ADD IP FILT=1 TYPE=TRAFFIC SO=192.168.20.4 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE DPORT=TELNET PROT=TCP SESS=ANY ↓
ADD IP FILT=1 TYPE=TRAFFIC SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE DPORT=FTPDATA PROT=TCP SESS=ESTABLISHED ↓
ADD IP FILT=1 TYPE=TRAFFIC SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE DPORT=FTP PROT=TCP SESS=ANY ↓
ADD IP FILT=1 TYPE=TRAFFIC SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE DPORT=TELNET PROT=TCP SESS=ANY ↓
ADD IP FILT=1 TYPE=TRAFFIC SO=192.168.20.6 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE DPORT=FTPDATA PROT=TCP SESS=ESTABLISHED ↓
ADD IP FILT=1 TYPE=TRAFFIC SO=192.168.20.6 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE DPORT=FTP PROT=TCP SESS=ANY ↓
Note - IPフィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。この例では、上で設定したホストA、B、CからUNIXサーバーのTELNET、FTPポートへの通信以外はすべて拒否されます。
SET IP INT=ppp1 FILT=1 ↓
Note - 上記のIPフィルターはL2TPでカプセル化されたパケットをカプセル化を解除した後に適用する必要があるため、ppp1インターフェースに設定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターBの設定 |
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispB PASSWORD=isppasswdB LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255 ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpB ↓
ADD L2TP CALL=remote IP=4.4.4.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpA ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=ON ↓
ADD IP INT=ppp1 IP=0.0.0.0 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=12.34.56.78 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=12.34.56.78 PO=1701 IP=12.34.56.78 ↓
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
SHOW IP FILTER ↓
SHOW IP INTERFACE ↓
SET IP INT=ppp1 FILTER=NONE ↓
SHOW CONFIG DYNAMIC ↓
まとめ |
ルーターAのコンフィグ [テキスト版]
CREATE PPP=0 OVER=eth0-ANY ↓ |
ルーターBのコンフィグ [テキスト版]
CREATE PPP=0 OVER=eth0-ANY ↓ |
(C) 2006-2017 アライドテレシスホールディングス株式会社
PN: 613-000668 Rev.N